virus-informer.de: Lovegate-V verbreitet sich massiv!!!

23.07.04 00:24 Age: 6 yrs

Lovegate-V verbreitet sich massiv!!!

By: admin

Der Lovegate-V Wurm verbreitet sich derzeit massiv über E-Mails und Netzanteile!!! Dieser Wurm wurde bereis mehrfach "in freier Wildbahn" (i.t.w.) gesichtet. ;)

Name: W32/Lovgate-V

Alias: I-Worm.LovGate.w, W32.Lovgate.Gen@mm, WORM_LOVGATE.V

Art. Wurm

Art der Verbreitung: E-Mail, Netzanteile, filesharing Netze

Verbreitung: hoch

bekannt seit: 6. April 2004

Beschreibung. W32/Lovgate-V ist eine Variante der W32-/Lovgatefamilie der Würmer, die sich über email, Netzanteile und filesharing Netze verbreiten.

W32/Lovgate-V kopiert sich in das Windowssystemverzeichnis als die Dateien WinHelp.exe, iexplore.exe, kernel66.dll und ravmond.exe und zum Windowsverzeichnis als systra.exe.

Der Wurm kopiert auch die Dateien msjdbc11.dll, mssign30.dll und odbc16.dll , dabei ermöglicht er unautorisierten Remote-Zugriff.

Der Wurm hinterläßt ZIP Dateien auf allen verfügbaren Laufwerken, die den Wurm beinhalten. Die ZIP Dateien können aber auch RAR als Dateieendung haben.

Der Name der Datei wird von der folgenden Liste gewählt:

ARBEIT

Einstellung

wichtig

bak

Buchstabe

Durchlauf

Der Name der enthaltenen Datei ist entweder ein Kennwort, eine E-Mail, mit einer Dateiendung wie z.B.: EXE, SCR, PIF oder COM.

Nach einem Windows start up, verursacht der Wurm W32/Lovegate-V automatisch folgende Registereinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Hardware Profile = \hxdef.exe

Microsoft NetMeeting Associates, Inc. = NetMeeting.exe

Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

VFW Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

WinHelp = \WinHelp.exe

Program In Windows = \IEXPLORE.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SystemTra =

\SysTra.EXE

HKU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = RAVMOND.exe

Zusätzlich kopiert sich W32/Lovgate-V zur Datei command.exe ins Verzeichnis und stellt die Datei autorun.inf ein, um die Datei nach dem Starten der Anlage laufen zu lassen.

W32-/Lovgate-Verbreitungen durch email. Emailadressen werden von WAB, TXT gesammelt,

Htm-, SHT-, PHP-, Asp-, DBX-, TBB-, ADB- und PL-Akten wurden auf dem System gefunden.

Email haben die folgenden Eigenschaften:

test

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Message text:

It's the long-awaited film version of the Broadway hit. The message sent as a

binary attachment.

The message contains Unicode characters and has been sent as a binary

attachment.

Mail failed. For further assistance, please contact!

Attached file:

document

readme

doc

text

file

data

test

message

body

followed by ZIP, EXE, PIF or SCR.

W32/Lovegate-V aktiviert die Netzwerkfreigabe des Windows-Media-Verzeichnisses und kopiert sich selbst unter der Verwendung diverser Dateinamen.

Der Wurm versucht auch, auf die email zu antworten, gefunden in der inbox des Benutzers benutzt er folgende Dateinamen als Anhänge:

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

Der Wurm versucht, sich zu verbreiten, indem er sich in freigegebene Verzeichnisse kopiert und dabei einen der folgenden Dateinamen benutzt:

mmc.exe

xcopy.exe

winhlp32.exe

i386.exe

client.exe

findpass.exe

autoexec.bat

MSDN.ZIP.pif

Cain.pif

WindowsUpdate.pif

Support Tools.exe

Windows Media Player.zip.exe

Microsoft Office.exe

Documents and Settings.txt.exe

Internet Explorer.bat

WinRAR.exe

W32/Lovgate-V versucht auch, sich über schwach geschützte Remoteverzeichnisse zu verbreiten, indem er mit einem Kennwort von einem internen Wörterbuch anschließt und sich als die Akte NetManager.exe an das Systemverzeichnis auf dem admin-Teil kopiert.

Nach erfolgreichem kopieren der Datei W32/Lovgate-V beginnt diese als Service "Windows Managment Network Service Extensions" auf dem Remote-Computer an zu starten.

W32/Lovgate-V versucht, die Prozesse zu beenden, welche die folgenden Zeichenketten enthalten:

rising

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

Nav

Duba

KAV

W32/Lovegate-V überschreibt auch EXE-Dateien auf dem System mit Kopien von sich selbst. Die ursprünglichen Dateien werden mit einer ZMX-Verlängerung gespeichert.

<- Back to: virus-informer.de


	23.07.04 00:24 Age: 6 yrs Lovegate-V verbreitet sich massiv!!! By: admin Der Lovegate-V Wurm verbreitet sich derzeit massiv über E-Mails und Netzanteile!!! Dieser Wurm wurde bereis mehrfach "in freier Wildbahn" (i.t.w.) gesichtet. ;) Name: W32/Lovgate-V Alias: I-Worm.LovGate.w, W32.Lovgate.Gen@mm, WORM_LOVGATE.V Art. Wurm Art der Verbreitung: E-Mail, Netzanteile, filesharing Netze Verbreitung: hoch bekannt seit: 6. April 2004 Beschreibung. W32/Lovgate-V ist eine Variante der W32-/Lovgatefamilie der Würmer, die sich über email, Netzanteile und filesharing Netze verbreiten. W32/Lovgate-V kopiert sich in das Windowssystemverzeichnis als die Dateien WinHelp.exe, iexplore.exe, kernel66.dll und ravmond.exe und zum Windowsverzeichnis als systra.exe. Der Wurm kopiert auch die Dateien msjdbc11.dll, mssign30.dll und odbc16.dll , dabei ermöglicht er unautorisierten Remote-Zugriff. Der Wurm hinterläßt ZIP Dateien auf allen verfügbaren Laufwerken, die den Wurm beinhalten. Die ZIP Dateien können aber auch RAR als Dateieendung haben. Der Name der Datei wird von der folgenden Liste gewählt: ARBEIT Einstellung wichtig bak Buchstabe Durchlauf Der Name der enthaltenen Datei ist entweder ein Kennwort, eine E-Mail, mit einer Dateiendung wie z.B.: EXE, SCR, PIF oder COM. Nach einem Windows start up, verursacht der Wurm W32/Lovegate-V automatisch folgende Registereinträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Hardware Profile = \hxdef.exe Microsoft NetMeeting Associates, Inc. = NetMeeting.exe Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg VFW Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg WinHelp = \WinHelp.exe Program In Windows = \IEXPLORE.EXE HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SystemTra = \SysTra.EXE HKU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = RAVMOND.exe Zusätzlich kopiert sich W32/Lovgate-V zur Datei command.exe ins Verzeichnis und stellt die Datei autorun.inf ein, um die Datei nach dem Starten der Anlage laufen zu lassen. W32-/Lovgate-Verbreitungen durch email. Emailadressen werden von WAB, TXT gesammelt, Htm-, SHT-, PHP-, Asp-, DBX-, TBB-, ADB- und PL-Akten wurden auf dem System gefunden. Email haben die folgenden Eigenschaften: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Message text: It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. Mail failed. For further assistance, please contact! Attached file: document readme doc text file data test message body followed by ZIP, EXE, PIF or SCR. W32/Lovegate-V aktiviert die Netzwerkfreigabe des Windows-Media-Verzeichnisses und kopiert sich selbst unter der Verwendung diverser Dateinamen. Der Wurm versucht auch, auf die email zu antworten, gefunden in der inbox des Benutzers benutzt er folgende Dateinamen als Anhänge: the hardcore game-.pif Sex in Office.rm.scr Deutsch BloodPatch!.exe s3msong.MP3.pif Me_nude.AVI.pif How to Crack all gamez.exe Macromedia Flash.scr SETUP.EXE Shakira.zip.exe dreamweaver MX (crack).exe StarWars2 - CloneAttack.rm.scr Industry Giant II.exe DSL Modem Uncapper.rar.exe joke.pif Britney spears nude.exe.txt.exe I am For u.doc.exe Der Wurm versucht, sich zu verbreiten, indem er sich in freigegebene Verzeichnisse kopiert und dabei einen der folgenden Dateinamen benutzt: mmc.exe xcopy.exe winhlp32.exe i386.exe client.exe findpass.exe autoexec.bat MSDN.ZIP.pif Cain.pif WindowsUpdate.pif Support Tools.exe Windows Media Player.zip.exe Microsoft Office.exe Documents and Settings.txt.exe Internet Explorer.bat WinRAR.exe W32/Lovgate-V versucht auch, sich über schwach geschützte Remoteverzeichnisse zu verbreiten, indem er mit einem Kennwort von einem internen Wörterbuch anschließt und sich als die Akte NetManager.exe an das Systemverzeichnis auf dem admin-Teil kopiert. Nach erfolgreichem kopieren der Datei W32/Lovgate-V beginnt diese als Service "Windows Managment Network Service Extensions" auf dem Remote-Computer an zu starten. W32/Lovgate-V versucht, die Prozesse zu beenden, welche die folgenden Zeichenketten enthalten: rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill Nav Duba KAV KV W32/Lovegate-V überschreibt auch EXE-Dateien auf dem System mit Kopien von sich selbst. Die ursprünglichen Dateien werden mit einer ZMX-Verlängerung gespeichert. <- Back to: virus-informer.de
home Impressum